ថ្មីៗនេះក្រុម Evilnum APT បានប្រើប្រាស់ឧបករណ៍ RAT PyVil ដែលមានមូលដ្ឋានលើ Python ដើម្បីតាមដាន និងលួចទិន្នន័យសំខាន់។ ក្រុមនេះមានគោលបំណងសំខាន់ដើម្បីស៊ើបការណ៍លើជនរងគ្រោះរបស់ខ្លួន និងបញ្ជូលលេខសម្ងាត់ VPN លិខិតសម្គាល់អ៊ីម៉េល ឯកសារផ្សេងៗ និង browser cookies។
ក្រុម Evilnum APT និងប្រព័ន្ធនៃការចម្លង
នេះមិនមែនជាលើកទី១ ទេ ដែលក្រុម Badnum APT ធ្វើការវាយប្រហារនៅដើមឆ្នាំ ២០១៨ ប៉ុន្តែពេលនេះពួកគេបានបង្កើតគំនិត និងល្បិចថ្មីមួយចំនួនដើម្បីលួចទិន្នន័យសំខាន់របស់ជនរងគ្រោះ។
ក្រុម Evilnum APT ភាគច្រើនធ្វើការវាយប្រហារកំណត់គោលដៅទៅលើជនរងគ្រោះមកពីចក្រភពអង់គ្លេស និងសហភាពអ៊ឺរ៉ុប ប៉ុន្តែពេលនេះពួកគេវាយប្រហារទៅលើជនរងគ្រោះមួយចំនួនមកពីប្រទេសអូស្ត្រាលីនិងកាណាដា។
ក្រុមអ្នកជំនាញបានបញ្ជាក់ថា ពួកគេបានរកឃើញនូវអំពើអាក្រក់ ដោយប្រើវិធីសាស្ត្រវាយប្រហារដែលសរសេរជា JavaScript និង C #ហើយពួកគេក៏ប្រើប្រាស់ឧបករណ៍ផ្សេងៗអ្នកបោកប្រាស់ Golden Chickens ដែលជាអ្នកផ្តល់សេវាមេរោគ។ មិនត្រឹមតែប៉ុណ្ណឹងទេ ភាគច្រើនក្រុមនេះប្រើអ៊ីម៉ែលដើម្បីអាចឆ្លងកាត់ការចាប់បាននៅពេលឆ្លងកាត់រាល់ឯកសារដូចជាស្កេនវិក័យប័ត្រ សេវាកម្មប័ណ្ណឥណទាន និងប័ណ្ណបើកបរ។
ក្នុងនោះ រាប់បញ្ចូលទាំងឯកសារផ្ទៀងផ្ទាត់ផ្សេងទៀត ដែលត្រូវការ ដោយពួកគេដឹងពីការគ្រប់គ្រងអតិថិជនរបស់អ្នកនៅក្នុងវិស័យហិរញ្ញវត្ថុ។សកម្មភាពទាំងអស់នេះគ្របដណ្តប់លើការផ្លាស់ប្តូរខ្សែសង្វាក់នៃការឆ្លង និងការតស៊ូដែលជាអាជីវកម្មថ្មីមួយ ដែលកំពុងតែមានការកើនឡើងតាមពេលវេលា និងការប្រើប្រាស់ Python-scripted Remote Access Trojan (RAT) Nocturnus ដែលត្រូវបានគេហៅថា PyVil RAT ។
ការរកឃើញសំខាន់ៗ
–វាយប្រហារលើវិស័យហិរញ្ញាវិត្ថុ
-នៅពេលនេះ Evilnum នាំមកជាមួយល្បិចនិងគំនិតថ្មីៗ
-អ្នកជំនាញសន្តិសុខកំពុងស៊ើបអង្កេតក្រុមដែលបាននិងកំពុងធ្វើការកេងចំណេញ
លើវិស័យផ្សេងៗគ្នា
-កំណែដែលអាចកែប្រែបាននៃប្រតិបត្តិការដែលស្របច្បាប់ដែលនៅតែមិនអាចរកឃើញដោយឧបករណ៍សុវត្ថិភាព
-អ្នកជំនាញបានរកឃើញ RAT-scripted RAT ដែលគេដាក់ឈ្មោះថា PyVil RAT។ វាផ្សំជាមួយ py2exe ដែលមានសមត្ថភាពទាញយកម៉ូឌុលថ្មីៗទាំងអស់ដើម្បីបង្កើនមុខងារ
-ខ្សែសង្វាក់ដែលឆ្លងបានផ្លាស់ប្តូរពី JavaScript Trojan ជាមួយសមត្ថភាព backdoor ទៅកានវិធីបញ្ចូនចម្រុះរបស់បន្ទុក។
PyVil: Python RAT ថ្មី
PyVil RAT អនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការជម្រិតលើទិន្នន័យទាំងអស់ អនុវត្តវ key-logging និងថតរូបអេក្រង់។ វាក៏អាចប្រើឧបករណ៍ប្រមូលព័ត៌មានបន្ទាប់បន្សំដូចជា LaZagne។ វាជាកម្មវិធីប្រភពបើកចំហមួយដែលត្រូវបានប្រើដើម្បីលួចពាក្យសម្ងាត់ដែលត្រូវបានរក្សាទុកនៅលើកុំព្យូទ័រមូលដ្ឋាន។
PyVil RAT មានមុខងារជាច្រើន
យោងតាមបរភពអ្នកជំនាញខាងសន្តិសុខតាមប្រព័ន្ធអ៊ីនធឺរណិត Cyberreason Nocturnus បានរាយការណ៍ថា PyVil ជំនាន់ថ្មីនេះត្រូវបានបង្កើតឡើងដោយមានមុខងារជាច្រើនហើយដូចខាងក្រោម៖
-Keylogger
-ដំណើរការពាក្យបញ្ជា cmd
-ថតរូបអេក្រង់
-ទាញយកស្គ្រីប Python សម្រាប់មុខងារបន្ថែមទៀត
-ទម្លាក់ និងទាញយកតារាង
-បើក SSH shell
-ប្រមូលទិន្ន័យទាំងអស់ដូចជាផលិតផលប្រឆាំងមេរោគ ឧបករណ៍ភ្ជាប់មេរោគ និងកំណែ Chrome
គម្រូវាយប្រហារEvilnum
Evilnum តែងតែពឹងផ្អែកលើអ៊ីម៉ែល phishing ដែលមានទាំង phishing ហ្វាល4 LNK។ នោះហើយជាមូលហេតុដែលគម្រូនៃការវាយប្រហារ និងកំណែថ្មីត្រូវបានបង្កើតឡើងដោយគំនិត និងល្បិចថ្មី។
កម្មវិធីងាយរងគ្រោះដែលគេប្រើក្នុងការវាយប្រហារ៖
-DDPP.exe
-FPLAYER.exe
ប្រែសម្រួល៖ប៉ោក លក្ខិណា
ប្រភពព័ត៌មាន gbhackers ផ្សាយថ្ងៃទី០៥ ខែកញ្ញា ឆ្នាំ២០២០
